Derzeit haben unbekannte Angreifer Systeme mit Oracle Identity Manager im Visier. Admins sollten umgehend handeln und die dagegen abgesicherte Ausgabe installieren.
Die US-Sicherheitsbehörde Cybersecurity & Infrastrucutre Security Agency (CISA) warnt vor den Attacken und rät zur zügigen Installation des Sicherheitspatches. Die Behörde sieht darin eine echte Gefahr für staatliche Einrichtungen. Die Lücke (CVE-2025-61757) gilt als "kritisch" und Angreifer führen darüber Schadcode aus, um Systeme zu kompromittieren. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt.
Ein Sicherheitsupdate hat der Softwarehersteller im Zuge seiner Quartalssicherheitsupdates im Oktober dieses Jahres veröffentlicht. Aus Oracles Auflistung zum aktuellen Critical Patch Update gehen aber nur die bedrohten Identity-Manager-Versionen 12.2.1.4.0 und 14.1.2.1.0 hervor. Die Versionskennung der abgesicherten Ausgabe ist für Oraclekunden im Supportportal einsehbar.
Der Fehler steckt der Beschreibung der Schwachstelle zufolge in der REST-API von Identity Manager. Daran können entfernte Angreifer mit präparierten URLs mit Parametern wie ?WSDL oder ;.wadl ansetzen, um einen Sicherheitsfilter zu umgehen. Im Anschluss können sie Schadcode auf PCs schieben. Das Ausführen einer derartigen Attacke soll vergleichsweise einfach sein. In einem Bericht erläutern Sicherheitsforscher von Searchlight Cyber weitere Hintergründe zur Lücke.
Ein Sicherheitsforscher vom SANS Technology Institute stieß bereits Ende August dieses Jahres auf eine solche URL. Daraus schließt er in einem Beitrag, dass seitdem, also vor Erscheinen des Patches, Attacken laufen.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo